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(54) Programmgesteuerte Einheit 

(57) Es wird eine programmgesteuerte Einheit be- 
schrieben, mit einer Speichereinrichtung, und mit einer 
Leseschutzeinrichtung, durch welche das Auslesen von 
Daten aus der Speichereinrichtung verhindert werden 
kann. Die beschriebene programmgesteuerte Einheit 
zeichnet sich dadurch aus, daB die Leseschutzeinrich- 



tung das Auslesen von Daten aus der Speichereinrich- 
tung nur verhindert, wenn eine Sperrkennung gesetzt 
ist, und daB die programmgesteuerte Einheit diese 
Sperrkennung automatisch in Abhangigkeit von der Be- 
triebsart, in weicher sich die programmgesteuerte Ein- 
heit befindet, setzt oder nicht. 
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Beschreibung 

[0001] Dievorliegende Em'ndungbetrifft eineVorrich- 
tung gemaB dem Oberbegriff des Patentanspruchs 1 , 
d.h. eine programmgesteuerte Einheit mit einer Spei- 
chereinrichtung, und mit einer Leseschutzeinrichtung, 
durch welche das Ausiesen von Daten aus der Spei- 
chereinrichtung verhindert werden kann. 
[0002] Programmgesteuerte Einheiten wie beispiels- 
weise Mikroprozessoren, Mikrocontroller, Signaipro- 
zessoren etc. sind seit vielen Jahren in unzahiigen Aus- 
fiihrungsformen bekannt und bediirfen keiner naheren 
Erlauterung. 

[0003] Programmgesteuerte Einheiten mit Lese- 
schutzeinrichtungen werden eingesetzt, wenn verhin- 
dert werden soil, daB innerhalb der programmgesteuer- 
ten Einheit gespeicherte Daten oder Programme aus- 
gelesen und aus der programmgesteuerten Einheit aus- 
gegeben werden. Dies ist erforderlich, wenn es sich bei 
den Daten oder Programmen urn geheime Daten oder 
Programme handelt, die - aus welchem Grund auch im- 
mer - nicht in die Hande von unberechtigten Personen 
gelangen solien oder durfen. 

[0004] Die Leseschutzeinrichtungen unterbinden ver- 
standlicherweise nicht jegliches Ausiesen von Daten 
aus der zu schutzenden Speichereinrichtung, sondern 
werden nur aktiv, 

- wenn der Benutzer der programmgesteuerten Ein- 
heit wunscht, daft das Ausiesen der zu schutzen- 
den Speichereinrichtung beschrankt wird, und 

- wenn ein Ereignis aufgetreten ist, nach welchem 
die Gefahr besteht, daB ein Hacker Daten aus der 
Speichereinrichtung ausiesen konnte. 

[0005] Die erste Bedingung, d.h. ob der Leseschutz 
bei Erfullung der zweiten Bedingung aktiviert werden 
soil oder nicht, wird durch das von der programmgesteu- 
erten Einheit ausgefuhrte Programrn, genauer gesagt 
durch die Ausfuhrung eines oder mehrerer bestimmter 
Befehle eingestellt. 

[0006] Die zweite Bedingung, d.h. die Uberwachung 
des Auftretens eines Ereignisses, nach welchem die 
Gefahr besteht, da(3 ein Hacker Daten aus der Spei- 
chereinrichtung ausiesen konnte, wird als erfullt ange- 
sehen, wenn die programmgesteuerte Einheit die von 
ihr auszufuhrenden Befehle aus einer auBerhaib der 
programmgesteuerten Einheit vorgesehenen Speicher- 
einrichtung holt. Die Uberwachung des Auftretens die- 
ser Bedingung erfolgt durch eine Uberprufung der 
Adressen, von welchen die von der programmgesteu- 
erten Einheit ausgefuhrten Befehle geholt werden. 
[0007] Auf diese Art und Weise kann jedoch nicht zu- 
verlassig ausgeschlossen werden, daB Hacker den In- 
halt einer zu schutzenden Speichereinrichtung ausie- 
sen konnen. 

[0008] Dies ist beispielsweise der Fall, wenn die pro- 



grammgesteuerte Einheit nach dem Einschalten einen 
Bootstrap Loader ausfuhrt, durch welchen aus einer au- 
Berhaib der programmgesteuerten Einheit vorgesehe- 
nen Speichereinrichtung Befehle reprasentierende Da- 

5 ten in die programmgesteuerte Einheit eingelesen wer- 
den, und diese Befehle zu einem spateren Zeitpunkt, 
genauer gesagt nach einem durch den Bootstrap 
Loader veranlaBten Rucksetzen der programmgesteu- 
erten Einheit ausgefiihrt werden. Bei der Ausfuhrung 

10 der durch den Bootstrap Loader in die programmge- 
steuerten Einheit geladenen Befehle werden diese 
namlich aus einer innerhalb der programmgesteuerten 
Einheit vorgesehenen Speichereinrichtung geholt, so 
daB, obgleich diese Befehle letztlich von auBerhaib der 

15 programmgesteuerten Einheit stammen und durch ei- 
nen Hacker manipuliertsein konnen, dievorstehendge- 
nannte zweite Bedingung nicht als erfullt angesehen 
wird. Die Folge ist, daB ein Hacker durch das vom 
Bootstrap Loader in die programmgesteuerte Einheit 

20 geladene Programrn den vor unberechtigten Zugriffen 
zu schutzenden Speicher ausiesen kann. 
[0009] Ein Ausiesen des vor unberechtigten Zugriffen 
zu schutzenden Speichers ist ferner moglich, wenn die 
programmgesteuerte Einheit uberein OCDS-Modul (On 

25 Chip Debug Support Modul) verfugt, welches in der La- 
ge ist, Befehle zur Ausfuhrung bringen zu iassen (bei- 
spielsweise Befehle in die Instruction Queue zu injizie- 
ren). Auch in diesem Fall konnen von auBerhaib der pro- 
grammgesteuerten Einheit stammende Befehle zur 

30 Ausfuhrung kommen, ohne daB die vorstehend genann- 
te zweite Bedingung als erfullt angesehen wird. 
[0010] Der vorliegenden Erfindung liegt daher die 
Aufgabe zugrunde, eine Moglichkeit zu finden, durch 
welche das Ausiesen einer Speichereinrichtung durch 

35 dazu nicht bef ugte Personen unter alien Umstanden zu- 
vertassig verhindert werden kann. 
[0011] Diese Aufgabe wird erfindungsgemaB durch 
die in Patentanspruch 1 beanspruchte programmge- 
steuerte Einheit gelost. 

40 [0012] Die erfindungsgemaBe programmgesteuerte 
Einheit zeichnet sich dadurch aus, daB die Leseschutz- 
einrichtung das Ausiesen von Daten aus der Speicher- 
einrichtung nur verhindert, wenn eine Sperrkennungge- 
setzt ist, und daB die programmgesteuerte Einheit diese 

45 Sperrkennung automatisch in Abhangigkeit von der Be- 
triebsart, in welcher sich die programmgesteuerte Ein- 
heit befindet, setzt oder nicht. 
[0013] Dadurch, daB die Sperrkennung nicht mehr 
abhangig von der Adresse gesetzt wird, von welcherdie 

50 programmgesteuerte Einheit die jeweils auszufuhren- 
den Befehle holt, sondem abhangig von der Betriebsart, 
in welcher sich die programmgesteuerte Einheit befin- 
det, kann das Ausiesen von Daten aus der zu schutzen- 
den Speichereinrichtung auch in Phasen verhindert 

55 werden, die durch die bekannten Leseschutzeinrichtun- 
gen nicht als kritisch erkannt werden konnen. 
[0014] Die zu schiitzende Speichereinrichtung kann 
dadurch zuverlassiger und sogar einfacher vor einem 
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unberechtigten Auslesen geschutzt werden. 
[0015] Vorteilhafte Weiterbildungen der Erfindung 
sind den Unteranspruchen, der folgenden Beschrei- 
bung, und der Figur entnehmbar. 
[0016] Die Erfindung wird nachfolgend anhand eines 
Ausfuhrungsbeispiels unter Bezugnahme auf die Figur 
naher erlautert. 

[0017] Die Figurzeigt den prinzipieilen Aufbau der im 
folgenden naher beschriebenen programmgesteuerten 
Einheit. 

[0018] Bei der im folgenden beschriebenen pro- 
grammgesteuerten Einheit handeltessich urn einen Mi- 
krocontroller. Es sei jedoch bereits an dieserStelledar- 
auf hingewiesen, daf3 sich die nachfolgend beschriebe- 
nen Besonderheiten auch bei anderen programmge- 
steuerten Einherten, beispielsweise bei Mikroprozesso- 
ren oderSignalprozessoren einsetzen lassen. 
[0019] Der vorliegend betrachtete Mikrocontrolter hat 
den in der Figur gezeigten Aufbau. Der Vollstandigkeit 
halber sei darauf hingewiesen, daB nur die vorliegend 
besonders interessierenden Bestandteile des Mikro- 
controllers gezeigt sind und beschrieben werden. 
[0020] Der in der Figur gezeigte Mikrocontroller ent- 
halt eine CPU 1, ein ROM 2, ein RAM 3, einen Flash- 
speicher 4, eine dem Flashspeicher 4 vorgeschaltete 
Flashspeicher-Steuereinrichtung 5, eine Sperrken- 
nungs-Speichereinrichtung 6, und eine Sperrkennungs- 
Einstelleinrichtung 7. 

[0021] Der Speicher, dessen Auslesen durch nicht 
befugte Personen verhindert werden soil, ist der Flash- 
speicher 4. Es konnte sich aber auch urn einen anderen 
nichtfluchtigen oder f luchtigen Speicher der programm- 
gesteuerten Einheit handeln. 

[0022] Die Leseschutzeinrichtung, durch welche das 
unberechtigte Auslesen des Flashspeichers 4 unter- 
bunden wird, ist im betrachtete n Beispiel Bestandteil der 
Flashspeicher-Steuereinrichtung 5, konnte prinziplell 
aber auch in einerbeliebigen anderen Komponente des 
Mikrocontrollers untergebracht sein. 
[0023] Die Leseschutzeinrichtung arbeitet, wie spater 
noch genauer beschrieben wird, abhangig 

- von einer in der Flashspeicher-Steuereinrichtung 5 
gespeicherten Leseschutzkennung, und 

- von einer in der Sperrkennungs-Speichereinrich- 
tung 6 gespeicherten Sperrkennung 

wobei, wie spater ebenfalls noch genauer beschrieben 
wird, 

- die Leseschutzkennung durch den Benutzer der 
programmgesteuerten Einheit (durch das Anwen- 
dungsprogramm) gesetzt und zuruckgesetzt wird, 

die Sperrkennung automatisch von der programm- 
gesteuerten Einheit in Abhangigkeit von der Be- 
triebsart, in welcher sich die programmgesteuerte 
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Einheit befindet, gesetzt wird oder nicht, und 

das Auslesen des Flashspeichers 4 verhindert wird, 
wenn sowohl die Leseschutzkennung als auch die 
5 Sperrkennung gesetzt sind. 

[0024] Die Flashspeicher-Steuereinrichtung 5 enthalt 
im betrachteten Beispiel neben der Leseschutzeinrich- 
tung auch noch eine Schreibschutzeinrichtung, durch 
10 welche ein unberechtigtes Beschreiben des Flashspei- 
chers 4 unterbunden wird. Dadurch soil verhindert wer- 
den, daB ein Hacker die im Flashspeicher 4 gespeicher- 
ten Programme oder Daten verandern kann. Der Voll- 
standigkeit halber sei jedoch darauf hingewiesen, daB 
15 das Vorhandensein der Schreibschutzeinrichtung keine 
Voraussetzung fur das Vorsehen der Leseschutzein- 
richtung ist. In bestimmten Fallen wird auch gar keine 
Schreibschutzeinrichtung benotigt. Dies ist beispiels- 
weise der Fall, wenn es sich bei dem zu schiitzenden 
20 Speicher urn ein ROM handelt. 

[0025] Im Flashspeicher 4 ist neben den eigentlich zu 
speichernden, d.h. neben fur die Anwendung der pro- 
grammgesteuerten Einheit bendtigten (Anwendungs-) 
Programmen und/oder Daten, noch eine Reihe von 
25 Kennwortern gespeichert. 

[0026] Diese Kennworter umfassen im betrachteten 
Beispiel 

ein im folgenden als erstes Leseschutz-Kennwort 
30 bezeichnetes Kennwort, auf dessen Eingabe hin 
die Leseschutzkennung gesetzt wird, 

ein im folgenden als zweites Leseschutz-Kennwort 
bezeichnetes Kennwort, auf dessen Eingabe hin 
35 die Leseschutzkennung zuruckgesetzt wird, und 

ein im folgenden als Schreibschutz-Kennwort be- 
zeichnetes Kennwort, das eingegeben werden 
muB, urn den Flashspeicher 4 Daten einschreiben 
40 zu konnen. 

[0027] Die Kennworter werden im betrachteten Bei- 
spiel vom Benutzer bei der ersten Inbetriebnahme der 
programmgesteuerten Einheit eingegeben und im 

45 Flashspeicher 4 gespeichert. Dies wird im betrachteten 
Beispiel durch ein Programm oder einen Programmteil 
bewerkstelligt, das in einem nichtfluchtigen Speicher 
der programmgesteuerten Einheit gespeichert ist und 
bei der ersten Inbetriebnahme der programmgesteuer- 

50 ten Einheit ausgefuhrt wird. Das betreffende Programm 
bzw. der betreffende Programmteil kann aber auch in 
einem auBerhalb der programmgesteuerten Einheit vor- 
gesehenen Speicher gespeichert sein (und beispiels- 
weise durch einen Bootstrap Loader geladen und zur 

55 Ausfiihrung gebracht werden). 

[0028] Die Kennworter mussen nicht im Flashspei- 
cher gespeichert werden; sie konnen auch in einer an- 
deren nichtfluchtigen Speichereinrichtung der pro- 
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grammgesteuerten Einheit gespeichert werden. Unab- 
hangig davon, wo die Kennworter gespeichert sind, soil- 
ten diese nicht oder jedenfalls nicht auf Veranlassung 
durch unberechtigte Personen aus der programmge- 
steuerten Einheit ausgebbar sein. 
[0029] Das Schreibschutz-Kennwort wird von der 
Schreibschutzvorrichtung benotigt, um zu uberprufen, 
ob dem Flashspeicher 4 oder der Fiashspeicher-Steu- 
ereinrichtung 5 zugefiihrte Daten in den Flashspeicher 
4 eingeschrieben werden durfen. Damit dem Flashspei- 
cher 4 oder der Flashspeicher-Steuereinrichtung 5 zu- 
gefiihrte Daten in den Flashspeicher 4 eingeschrieben 
werden konnen, muB der Flashspeicher-Steuereinrich- 
tung 5 vorher das Schreibschutz-Kennwort zugefuhrt 
werden. Die Flashspeicher-Steuereinrichtung 5 ver- 
gleicht das ihr zugefiihrte Schreibschutz-Kennwort mit 
dem im Flashspeicher 4 gespeicherten Schreibschutz- 
Kennwort und laBt ein Beschreiben oder Umprogram- 
mieren des Flashspeichers 4 nur zu, wenn die mitein- 
anderverglichenen Kennworter ubereinstimmen. Im be- 
trachteten Beispiel ist der Schreibschutz immer aktiv 
und muBfiirjeden Schreibvorgang aufgehoben werden. 
[0030] Die Leseschutz-Kennworter werden, wie vor- 
stehend bereits erwahnt wurde, benotigt, um den Inhalt 
der Leseschutzkennung verandern zu konnen. Um die 
Leseschutzkennung zu setzen oder zuriickzusetzen, 
muB der Flashspeicher-Steu ereinrichtung 5 das erste 
bzw. das zweite Leseschutz-Kennwort zugefuhrt wer- 
den. Die Flashspeicher-Steuereinrichtung 5 vergleicht 
das ihr zugefiihrte Kennwort mit den im Flashspeicher 
4 gespeicherten Leseschutz-Kennwortern. Wenn sich 
hierbei eine Ubereinstimmung ergibt, setzt die Flash- 
speicher-Steuereinrichtung die Leseschutzkennung auf 
den gewunschten Wert. 

[0031] Die Zufuhrung des Leseschutz-Kennwortes 
wird durch das von der programmgesteuerten Einheit 
ausgefiihrte Programm veranlaBt Damit hat der Benut- 
zer der programmgesteuerten Einheit die Moglichkeit, 
den Leseschutz zu aktivieren oder zu deaktivieren. 
[0032] Die Leseschutzkennung weist die Besonder- 
heit auf, daBsiezumindest dann, wenn sie schon einmal 
gesetzt war, nach jedem Riicksetzen der programmge- 
steuerten Einheit automatisch wieder gesetzt ist. D.h., 
ein Rucksetzen der Leseschutzkennung ist nur ein tem- 
porares Rucksetzen, das nur bis zum Ausschalten oder 
Rucksetzen der programmgesteuerten Einheit wirkt. 
[0033] Eine gesetzte Leseschutzkennung reichtaller- 
dings noch nicht aus, um das Auslesen des Flashspei- 
chers 4 zu verhindern. 

[0034] Hierfiir muB zusatzlich die in der Sperrken- 
nungs-Speichereinrichtung 6 gespeicherte Sperrken- 
nung gesetzt sein. 
[0035] Die Sperrkennung wird 

automatisch beim Vorliegen oder Eintreten be- 
stimmter Bedingungen, oder 

auf Veranlassung durch das von der programmge- 



steuerten Einheit ausgefuhrte Anwendungspro- 
gramm 

gesetzt. 

5 [0036] Die Bedingungen, unter welchen die Sperr- 
kennung automatisch gesetzt wird, bestehen darin, daB 
sich die programmgesteuerte Einheit in einer bestimm- 
ten Betriebsart befindet oder die programmgesteuerte 
Einheit in eine bestimmte Betriebsart wechselt. 
10 [0037] Beim automatischen Setzen der Sperrken- 
nung wird die Sperrkennung teilweise nur gesetzt, wenn 
auch die Leseschutzkennung gesetzt ist. Es ist jedoch 
selbstverstandlich auch moglich, daB die Sperrkennung 
immer unabhangig oder immer abhangig vom Zustand 
15 der Leseschutzkennung gesetzt wird. 

[0038] Die vorstehend erwahnten bestimmten Be- 
triebsarten der programmgesteuerten Einheit sind sol- 
che Betriebsarten, in welchen es moglich ist, daB die 
programmgesteuerte Einheit von auBerhalb der pro- 
20 grammgesteuerten Einheit geholte Befehle ausfuhrt. 
Dabei spiert es jedoch keine Rolle, ob die programmge- 
steuerte Einheit tatsachlich von auBerhalb der pro- 
grammgesteuerten Einheit geholte Befehle ausfuhrt. 
[0039] Im betrachteten Beispiel befindet sich die pro- 
25 grammgesteuerte Einheit nach der Inbetriebnahmeder- 
selben in einer von fiinf verschiedenen Betriebsarten. 
Diese fiinf Betriebsarten sind 

1) ein Normal-Start-Modus, 

30 

2) ein Bootstrap-Loader-Start-Modus, 

3) ein Extern-Start-Modus, 

35 4) Unkonfigurierter Start-Modus, und 
5) ein Test-Modus. 

[0040] In welcher Betriebsart sich die programmge- 

40 steuerte Einheit nach der Inbetriebnahme derselben be- 
findet, wird durch die auBere Beschaltung bestimmter 
Ein- und/oder Ausgangsanschliisse (Pins) der pro- 
grammgesteuerten Einheit bestimmt. 
[0041] Die programmgesteuerte Einheit enthalt im 

45 betrachteten Beispiel eine Logik, durch welche basie- 
rend auf einer Uberpriifung der die Betriebsart bestim- 
menden Pins entscheidet, ob die programmgesteuerte 
Einheit im unkonfigurierten Start-Modus oder in einer 
der anderen Betriebsarten starten soli. Diese Logik ist 

so die Sperrkennungs-Einstelleinrichtung 7. Wenn die 
Sperrkennungs-Einstelleinrichtung 7 feststellt, daB die 
programmgesteuerte Einheit im unkonfigurierten Start- 
Modus gestartet werden soil, setzt sie die Sperrkennung 
und startet das (externe) Anwendungsprogramm. 

55 [0042] Wenn die programmgesteuerte Einheit in einer 
der anderen Betriebsarten (nicht im unkonfigurierten 
Start-Modus) gestartet werden soli, wird mit der Ausfiih- 
rung eines in einem internen Speicher, vorzugsweise ei- 
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nes im internen ROM 2 gespeicherten, im folgenden als 
Startup-Programm bezeichneten Programmes begon- 
nen. Dieses Startup-Programm 

- uberpriift durch eine Abfrage der die Betriebsart be- 
stimmenden Pins, in welcherder anderen Betriebs- 
arten die programmgesteuerte Einheit gestartet 
werden soil, 

setzt, wenn die hierfur zu erfullenden Bedingungen 
erfullt sind, die Sperrkennung, und 

• veranlaBt die Ausfuhrung des Anwendungspro- 
grammes. 

[0043] Das Startup-Programm hat im betrachteten 
Beispiel auch noch weitere Aufgaben, beispielswesse 
das Starten und/oder das Einstellen der vorhandenen 
PLLs und Ladungspumpen. Da dies fur den hier be- 
schriebenen Leseschutz jedoch nicht von Bedeutung 
ist, wird von einer naheren Beschreibung abgesehen. 
[0044] Samtliche Aufgaben, die das Startup-Pro- 
gramm erfullt, konnen auch durch eine entsprechende 
Logik (eine state machine) hardwaremaBig realisiert 
werden. 

[0045] Im vorstehend erwahnten Normal-Start-Mo- 
dus befindet sich das von der programmgesteuerten 
Einheit auszufuhrende Anwendungsprogramm in ei- 
nem innerhalb der programmgesteuerten Einheit vorge- 
sehenen nichtfluchtigen Speicher. In dieser Betriebsart 
hat ein Hacker keine Chance, Befehle in die programm- 
gesteuerte Einheit einzuschleusen, durch welche derzu 
schiitzende Speicher ausgelesen werden kann. Das 
Startup-Programm setzt die Sperrkennung daher nicht. 
[0046] Im Boostrap-Loader-Start-Modus wird nach 
der Ausfuhrung des Startup-Programms (durch das 
Startup-Programm) ein Bootstrap Loader gestartet. Der 
Bootstrap Loader ladt von auBerhalb der programmge- 
steuerten Einheit Befehle reprasentierende Daten in 
das RAM 3 der programmgesteuerten Einheit, und ver- 
anlaBt nach erfolgtem Laden dieser Befehle die Ausfuh- 
rung derselben. Weil in dieser Betriebsart von auBer- 
halb der programmgesteuerten Einheit stammende Be- 
fehle zur Ausfuhrung kommen, setzt das Startup-Pro- 
gramm dann, wenn auch die Leseschutzkennung ge- 
setzt ist, die Sperrkennung. Der Vollstandigkeit halber 
sei angemerkt, daB der Bootstrap-Loader-Start-Modus 
zur Umprogrammierung des Flashspeichers 4 einer 
schon in ein System eingebauten programmgesteuer- 
ten Einheit verwendet werden kann. Das durch den 
Bootstrap Loader in die programmgesteuerte Einheit 
geladene Programm enthalt dann die Befehle, durch 
welche der Flashspeicher 4 entsprechend den Wun- 
schen des Benutzer des Systems umprogrammiert 
wird. Die Umprogrammierung kann jedoch nur durch ei- 
ne vom Hersteller des Systems dazu autorisierte Stelle 
erfolgen. Nurdiese kennt das Schreibschutz-Kennwort, 
das dem Flashspeicher4 (derdem Flashspeicher 4 vor- 



geschalteten Flashspeicher-Steuervorrichtung 5) zuge- 
fuhrt werden muB, damit ein Umprogrammieren des 
Flashspeichers 4 erfolgen kann. Eine autorisierte Stelle 
kann mittels des durch den Bootstrap Loader geladenen 
5 Programmes auch Daten aus dem Flashspeicher 4 aus- 
lesen. Zwar ist, wenn sowohl die Leseschutzkennung 
als auch die Sperrkennung gesetzt sind, der Leseschutz 
aktiv, doch kann durch einen oder mehrere Befehle, 
durch welche dem Flashspeicher 4 (der dem Flashspei- 
10 cher 4 vorgeschalteten Flashspeicher-Steuervorrich- 
tung 5) das Leseschutz-Kennwort zugefuhrt wird, die 
Leseschutzkennung und damit auch der Leseschutz zu- 
ruckgesetzt werden. Da das Leseschutz-Kennwort Hak- 
kem nicht bekannt ist, sind diese hierzu nicht in der La- 
's ge. 

[0047] Im Extern-Start-Modus, befindet sich das von 
der programmgesteuerten Einheit auszufuhrende An- 
wendungsprogramm in einem auBerhalb der pro- 
grammgesteuerten Einheit vorgesehenen Speicher. In 

20 dieser Betriebsart werden dievon der programmgesteu- 
erten Einheit auszufuhrenden Anwendungsprogramm- 
Befehleaus derexternen Speicher gehoit. Weil in dieser 
Betriebsart von auBerhalb der programmgesteuerten 
Einheit stammende Befehle zur Ausfuhrung kommen, 

25 setzt das vor dem Anwendungsprogramm ausgefuhrte 
Startup-Programm dann, wenn auch die Leseschutz- 
kennung gesetzt ist, die Sperrkennung. Damit sind so- 
wohl der Leseschutz als auch der Schreibschutz aktiv, 
so daB ein Hacker keine Chance hat, den Flashspeicher 

30 4 auszulesen oder umzuprogrammieren. 

[0048] Im unkonfigurierten Start-Modus befindet sich 
das von der programmgesteuerten Einheit auszufuh- 
rende Anwendungsprogramm ebenfalls in einem au- 
Berhalb der programmgesteuerten Einheit vorgesehe- 

35 nen Speicher. In dieser Betriebsart wird ohne vorherige 
Ausfuhrung des Startup-Programms sofort mit der Aus- 
fuhrung des externen Anwendungsprogramms begon- 
nen. Weil in dieser Betriebsart von auBerhalb der pro- 
grammgesteuerten Einheit stammende Befehle zur 

40 Ausfuhrung kommen, setzt die Sperrkennungs-Einstell- 
einrichtung 7, die feststellt, daB sich die programmge- 
steuerte Einheit in dieser Betriebsart befindet, die Sperr- 
kennung. Ob die Leseschutzkennung gesetzt ist oder 
nicht, spielt in diesem Fall keine Rolle. Wenn die Lese- 

45 schutzkennung gesetzt ist, sind sowohl der Leseschutz 
als auch der Schreibschutz aktiv, so daB ein Hacker 
auch in dieser Betriebsart keine Chance hat, den Flash- 
speicher 4 auszulesen oder umzuprogrammieren. 
[0049] Im Test-Modus, in welchem, wie die Bezeich- 

50 nung schon andeutet, die programmgesteuerte Einheit 
und/oder das diese enthaltende System getestet wird, 
wird durch das Startup-Programm die Sperrkennung 
gesetzt. Wenn die Leseschutzkennung gesetzt ist, sind 
sowohl der Leseschutz als auch der Schreibschutz ak- 

55 tiv, so daB ein Hacker auch in dieser Betriebsart keine 
Chance hat, den Flashspeicher 4 auszulesen oder um- 
zuprogrammieren. 

[0050] Ein Riicksetzen der Sperrkennung kann nur 
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durch ein Rucksetzen oder durch ein Aus- und Einschal- 
ten der programmgesteuerten Einheit erfolgen. 
[0051 J Wenn ein Lesezugriff auf den Flashspeicher 4 
erfolgt, uberpruft die Flashspeicher-Steuereinrichtung 
5, den Zustand der Leseschutzkennung und der Sperr- 
kennung, und 

gestattet das Auslesen von Daten aus dem Flash- 
speicher 4, wenn die Leseschutzkennung und/oder 
die Sperrkennung nicht gesetzt ist, bzw. 

verhindert das Auslesen von Daten aus dem Flash- 
speicher 4, wenn sowohl die Leseschutzkennung 
als auch die Sperrkennung gesetzt ist. 

[0052] Wenn das Auslesen von Daten aus dem Flash- 
speicher 4 gestattet ist (wenn der Leseschutz nicht ak- 
tiviert ist), leitet die Flashspeicher-Steuereinrichtung 5 
die ihr zugefiihrte Adresse an den Flashspeicher 4 wei- 
ter, welcher daraufhin die unter dieser Adresse gespei- 
cherten Daten ausgibt. 

[0053] Wenn das Auslesen von Daten aus dem Flash- 
speicher 4 gesperrt ist (wenn der Leseschutz aktiviert 
ist), werden nicht die aus dem Flashspeicher 4 angefor- 
derten Daten ausgegeben. Statt dessen werden be- 
stimmte andere Daten ausgegeben und/oder eine Feh- 
lermeldung (beispielsweise ein Trap) ausgegeben. 
[0054] Vom Inhalt der Leseschutzkennung und/oder 
der Sperrkennung kann es auch abhangig gemacht 
werden, ob ein in der programmgesteuerten Einheit ent- 
haltenes OCDS-Modul (On Chip Debug Support Modul) 
verwendet werden darf oder nicht. Urn zu verhindern, 
daB der Flashspeicher 4 durch Befehle ausgelesen 
wird, die aus dem OCDS-Modul stammen, kann bei- 
spielsweise vorgesehen werden, daB sich das 
OCDS-Modul bei der inbetriebnahme der programmge- 
steuerten Einheit im inaktiven Zustand befindet und 
durch das Startup-Programm oder durch das Anwen- 
dungsprogramm aktiviert werden muf3, um verwendet 
werden zu konnen, wobei eine automatische Aktivie- 
rung durch das Startup-Programm beispielsweise vom 
Inhalt der Leseschutzkennung abhangig gemacht wird, 
und wobei dann, wenn das OCDS-Modul (egal auf wel- 
che Art und Weise) aktiviert wird, die Sperrkennung ge- 
setzt wird. 

[0055] Entsprechendes gilt fur den Fall, daB die pro- 
gram mgesteuerte andere Einrichtungen enthalt, die 
hierarchisch uber der CPU stehen und EinfluB auf die 
innerhalb der programmgesteuerten Einheit herrschen- 
den Zustande und ablaufenden Vorgange nehmen kon- 
nen. 

[0056] Bei der beschriebenen programmgesteuerten 
Einheit besteht keine Notwendigkeit mehr, die Adressen 
zu uberprufen, von welchen Befehle und/oder Operan- 
den geholt werden, und es vom Ergebnis dieser Uber- 
prufung abhangig zu machen, ob der Leseschutz zu ak- 
tivieren ist oder nicht. Nichtsdestotrotz kann aber den- 
noch eine solche Uberprufung durchgefuhrt werden, 



und das Ergebnis dieser Uberprufung als zusatzliche 
Bedingung oder anstelle einer anderen Bedingung fur 
das Setzen und/oder Rucksetzen der Leseschutzken- 
nung und/oder der Sperrkennung und/oder einer son- 
5 stigen Kennung, von welcher die Aktivierung oder die 
Deaktivierung des Leseschutzes abhangt, zu verwen- 
den. 

[0057] Die beschriebene programmgesteuerte Ein- 
heit laBt sich auf mannigfaltige Art und Weise modifizie- 
10 ren. 

[0058] Beispielsweise kann vorgesehen werden, daB 
die Aktivierung und die Deaktivierung des Leseschutzes 
und/oder des Schreibschutzes nicht durch ein einziges 
Kennwort, sondern durch Kennwort-Sequenzen erfol- 
15 gen. 

[0059] Des weiteren kann vorgesehen werden, daB 
nicht nur eine Sperrkennung, sondern mehrere Sperr- 
kennungen vorgesehen sind, beispielsweise 

20 - eine Sperrkennung, die gesetzt wird, wenn von au- 
Berhalb der programmgesteuerten Einheit stam- 
mende Befehle ausgefuhrt werden oder werden 
konnen, und 

25 - eine Sperrkennung, die gesetzt wird, wenn von au- 
Berhalb der programmgesteuerten Einheit stam- 
mende Operanden verwendet werden Oder ver- 
wendet werden konnen, 



eine Sperrkennung, die berucksichtigt wird, wenn 
Befehle aus dem zu schutzenden Speicher ausge- 
lesen werden sollen, und , 

35 

eine Sperrkennung, die berucksichtigt wird, wenn 
Operanden aus dem zu schutzenden Speicher aus- 
gelesen werden sollen. 

40 [0060] Die beschriebene programmgesteuerte Ein- 
heit ermoglicht es unabhangig von den Einzelheiten der 
praktischen Realisierung, das Auslesen von in der pro- 
grammgesteuerten Einheit enthaltenen Speichem 
durch dazu nicht befugte Personen auf einfache Art und 

45 Weise unter alien Umstanden zuverlassig zu verhin- 
dern. 



Patentanspruche 

1. Programmgesteuerte Einheit mit einer Speicher- 
einrichtung, und mit einer Leseschutzeinrichtung, 
durch welche das Auslesen von Daten aus der 
Speichereinrichtung verhindert werden kann, 
dadurch gekennzeichnet, 
daB die Leseschutzeinrichtung das Auslesen von 
Daten aus der Speichereinrichtung nur verhindert, 
wenn eine Sperrkennung gesetzt ist, und daB die 



15 



30 und/oder 

eine 
Befef 
lesen 

35 

eine 
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programmgesteuerte Einheit diese Sperrkennung 
automatisch in Abhangigkeit von der Betriebsart, in 
welchersich die programmgesteuerte Einheit befin- 
det, setzt Oder nicht. 

2. Programmgesteuerte Einheit nach Anspruch 1 , 
dadurch gekennzeichnet, 

daB die Speichereinrichtung, deren Auslesen durch 
die Leseschutzeinrichtung verhindertwerden kann, 
ein nichtfluchtiger Speicher ist. 

3. Programmgesteuerte Einheit nach Anspruch 1 oder 
2, 

dadurch gekennzeichnet, 

daB die programmgesteuerte Einheit dafur sorgt, 
daB die Sperrkennung gesetzt ist, wenn sich die 
programmgesteuerte Einheit in einer Betriebsart 
befindet, in welcher es nicht verhindert werden 
kann, daft die programmgesteuerte Einheit von au- 
Berhalb der programmgesteuerte Einheit in die pro- 
grammgesteuerte Einheit geiadene Befehle aus- 
fuhrt. 

4. Programmgesteuerte Einheit nach Anspruch 3, 
dadurch gekennzeichnet, 

daB die programmgesteuerte Einheit dafur sorgt, 
daft die Sperrkennung gesetzt ist, wenn sich die 
programmgesteuerte Einheit in einer Betriebsart 
befindet, in welcher sie das von ihr auszufuhrende 
Anwendungsprogramm oder einen Tell desselben 
unter Verwendung eines Bootstrap Loaders von au- 
Berhalb der programmgesteuerten Einheit in einen 
internen Programmspeicher der programmgesteu- 
erten Einheit transferiert und zu einem spateren 
Zeitpunkt ausfuhrt. 

5. Programmgesteuerte Einheit nach Anspruch 3, 
dadurch gekennzeichnet, 

daB die programmgesteuerte Einheit dafur sorgt, 
daB die Sperrkennung gesetzt ist, wenn sich die 
programmgesteuerte Einheit in einer Betriebsart 
befindet, in welcher sie die von ihr auszufuhrenden 
Befehle aus einer auBerhalb der programmgesteu- 
erten Einheit vorgesehenen Speichereinrichtung 
ladt. 

6. Programmgesteuerte Einheit nach Anspruch 3, 
dadurch gekennzeichnet, 

daB die programmgesteuerte Einheit dafur sorgt, 
daB die Sperrkennung gesetzt ist, wenn sich die 
programmgesteuerte Einheit in einer Betriebsart 
befindet, in welcher die programmgesteuerte Ein- 
heit Testroutinen ausfuhrt, durch welche die pro- 
grammgesteuerte Einheit und/oderandere Kompo- 
nenten des die programmgesteuerte Einheit enthal- 
tenden Systems getestet werden. 

7. Programmgesteuerte Einheit nach Anspruch 3, 
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dadurch gekennzeichnet, 

daB die programmgesteuerte Einheit dafur sorgt, 
daB die Sperrkennung gesetzt tst, wenn sich die 
programmgesteuerte Einheit in einer Betriebsart 
befindet, in welcher in der programmgesteuerten 
Einheit vorhandene Einrichtungenaktiviertsind, die 
hierarchisch uber der CPU stehen und EinfluB auf 
die innerhalb der programmgesteuerten Einheit 
herrschenden Zustande und ablaufenden Vorgan- 
ge nehmen konnen. 



8. Programmgesteuerte Einheit nach einem der vor- 
hergehenden Anspruche, 

dadurch gekennzeichnet, 
15 daB der Inhalt der Sperrkennung durch ein Startup- 
Programm verandert wird, welches in einem nicht- 
fluchtigen Speicher der programmgesteuerten Ein- 
heit gespeichert ist und vor der Ausfuhrung des An- 
wendungsprogrammes ausgefuhrt wird. 

20 

9. Programmgesteuerte Einheit nach einem der An- 
spruche 1 bis 7, 

dadurch gekennzeichnet, 
daB der Inhalt der Sperrkennung durch eine in der 
25 programmgesteuerten Einheit enthaltene Logik 
verandert wird. 

10. Programmgesteuerte Einheit nach einem dervor- 
hergehenden Anspruche, 

30 dadurch gekennzeichnet, 

daB die Sperrkennung abhangig vom Zustand be- 
stimmter Einund/oder Ausgabeanschlusse der pro- 
grammgesteuerten Einheit gesetzt wird oder nicht. 

35 11. Programmgesteuerte Einheit nach Anspruch 10, 
dadurch gekennzeichnet, 
daB die bestimmten Ein- und/oder Ausgabean- 
schlusse der programmgesteuerten Einheit Ein- 
und/oder Ausgabeanschlusse sind, uber welche 

40 die Betriebsart der programmgesteuerten Einheit 
einstellbar ist. 

12. Programmgesteuerte Einheit nach einem der vor- 
hergehenden Anspruche, 
45 dadurch gekennzeichnet, 

daB die Sperrkennung durch einen entsprechen- 
den Befehl im Anwendungsprogramm gesetzt wer- 
den kann. 

so 13. Programmgesteuerte Einheit nach einem der vor- 
hergehenden Anspruche, 
dadurch gekennzeichnet, 
daB die Sperrkennung beim Einschalten der pro- 
grammgesteuerten Einheit nicht gesetzt ist. 

55 

14. Programmgesteuerte Einheit nach einem dervor- 
hergehenden Anspruche, 
dadurch gekennzeichnet, 
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daB die Sperrkennung nur durch ein Ausschalten 
Oder ein Rucksetzen der programmgesteuerten 
Einheit riickgesetzt werden kann. 



chereinrichtung auszulesen, nicht die angeforder- 
ten Daten, sondern bestimmte andere Daten aus- 
gegeben werden. 



15. Programmgesteuerte Einheit nach einem der vor- 5 23. Programmgesteuerte Einheit nach einem dervor- 



hergehenden Anspriiche, 
dadurch gekennzeichnet, 

daB die Leseschutzeinrichtung das Auslesen von 
Daten aus der Speichereinrichtung nur verhindert, 
wenn neben der Sperrkennung auch eine Lese- 
schutzkennung gesetzt ist. 

16. Programmgesteuerte Einheit nach Anspruch 15, 
dadurch gekennzeichnet, 
daB die Leseschutzkennung durch entsprechende 
Befehle im Anwendungsprogramm gesetzt oder 
riickgesetzt wird. 
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hergehenden Anspriiche, 
dadurch gekennzeichnet, 

daB dann, wenn bei aktiviertem Leseschutz ver- 
sucht wird, Daten aus der zu schutzenden Spei- 
chereinrichtung auszulesen, eine Fehlermeldung 
ausgegeben wird. 



17. Programmgesteuerte Einheit nach Anspruch 15 
Oder 16, 

dadurch gekennzeichnet, 

daB der Inhalt der Leseschutzkennung nur veran- 
dert wird, wenn die Berechtigung hierzu nachge- 
wiesen wird. 

18. Programmgesteuerte Einheit nach Anspruch 17, 
dadurch gekennzeichnet, 

daB der Nachweis der Berechtigung durch die 
Ubermittlung eines bestimmten Kennwortes zu er- 
bringen ist. 



20 



25 



30 



19. Programmgesteuerte Einheit nach Anspruch 18, 
dadurch gekennzeichnet, 
daB der Inhalt der Leseschutzkennung nur veran- 
dert wird, wenn das ubermittelte Kennwort mit ei- 
nem in einem nichtfluchtigen Speicher der pro- 
grammgesteuerten Einheit gespeicherten Kenn- 
wort ubereinstimmt. 



35 



20. Programmgesteuerte Einheit nach einem der An- 
spriiche 15 bis 19, 

dadurch gekennzeichnet, 
daB die Leseschutzkennung zumindest dann, wenn 
sie vorher schon einmal gesetzt war, nach der In- 
betriebnahme oder einem Rucksetzen der pro- 
grammgesteuerten Einheit automatisch gesetzt ist. 

21. Programmgesteuerte Einheit nach einem der An- 
spriiche 15 bis 20, 

dadurch gekennzeichnet, 

daB die Sperrkennung nur gesetzt wird, wenn die 

Leseschutzkennung gesetzt ist. 

22. Programmgesteuerte Einheit nach einem der vor- 
hergehenden Anspriiche, 

dadurch gekennzeichnet, 

da8 dann, wenn bei aktiviertem Leseschutz ver- 

sucht wird, Daten aus der zu schutzenden Spei- 
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